Cloudflare onthult hackers waartoe toegang is verkregen tot code en documenten in 2023 Okta Breach

Cloudflare heeft onthuld dat het waarschijnlijk een aanval door een natiestaat heeft meegemaakt, waarbij de bedreigingsacteur gestolen inloggegevens gebruikte om ongeautoriseerde toegang te krijgen tot de Atlassian-server, waardoor hij toegang kreeg tot bepaalde documentatie en een beperkte hoeveelheid broncode.

De inbreuk vond plaats van 14 tot 24 november 2023, met detectie op 23 november. Cloudflare karakteriseerde de acteur als ‘geavanceerd’, opererend met een doelbewuste en methodische aanpak om aanhoudende en wijdverbreide toegang tot het wereldwijde netwerk van het bedrijf te verkrijgen.

Als voorzorgsmaatregel heeft Cloudflare meer dan 5.000 productiereferenties gerouleerd, fysiek gesegmenteerde test- en faseringssystemen, forensische triages uitgevoerd op 4.893 systemen en elke machine in het wereldwijde netwerk opnieuw geimaged en opnieuw opgestart.

Tijdens het incident kreeg de bedreigingsacteur dankzij een verkenningsperiode van vier dagen toegang tot de Atlassian Confluence- en Jira-portals. Vervolgens werd een frauduleus Atlassian-gebruikersaccount aangemaakt, waardoor permanente toegang tot de Atlassian-server werd verkregen en uiteindelijk toegang werd verkregen tot het Bitbucket-broncodebeheersysteem met behulp van het Sliver Adversary-simulatieframework.

Codeopslagplaatsen waartoe aanvallers toegang hebben

Er werd toegang verkregen tot ongeveer 120 codeopslagplaatsen, waarvan naar schatting 76 door de aanvaller zijn geëxfiltreerd. Deze opslagplaatsen hadden voornamelijk betrekking op back-upprocessen, wereldwijde netwerkconfiguratie en -beheer, identiteitspraktijken bij Cloudflare, externe toegang en het gebruik van Terraform en Kubernetes door het bedrijf.

Cloudflare verklaarde dat een paar opslagplaatsen versleutelde geheimen bevatten, die ondanks hun sterke versleuteling onmiddellijk werden gerouleerd.

De bedreigingsacteur probeerde tevergeefs toegang te krijgen tot een consoleserver die was gekoppeld aan een datacenter in São Paulo, Brazilië, dat nog niet in productie was.

Bij de aanval werd misbruik gemaakt van één toegangstoken en drie serviceaccountreferenties die waren gekoppeld aan Amazon Web Services (AWS), Atlassian Bitbucket, Moveworks en Smartsheet. Deze inloggegevens werden in oktober 2023 gestolen tijdens de hack van Okta's support case management systeem. Cloudflare erkende dat het niet lukte om deze inloggegevens te roteren, waarbij ze ten onrechte aannam dat ze ongebruikt waren.

Het bedrijf beëindigde op 24 november 2023 alle kwaadaardige verbindingen met de bedreigingsacteur en schakelde cyberbeveiligingsbedrijf CrowdStrike in voor een onafhankelijke beoordeling van het incident.